본문 바로가기

보메트릭 암호화 솔루션

O2O 숙박 어플 '여기어때' 해킹, 개인정보 유출사고 발생



얼마 전에 국내 숙박 앱으로 유명한 [여기 어때]에서 해킹으로 인한 개인정보 유출사고가 발생하였습니다. 방통부, 미래부, 인터넷진흥원, 민간 전문가로 구성된 합동조사단은 여기 어때 앱에 대한 사고를 조사한 결과 유출된 개인정보는 총 99만건에 달하는 것으로 조사되었습니다.



조사단은 웹서버 로그 1천 560만건과 공격 서버 및 PC를 조사한 것으로 알려졌습니다. 중복 데이터까지 포함하면 전체 유출 건수는 340여 만건에 이르는 것으로 나타나 절대 적은 규모가 아닌 것으로 보입니다. 


특히, 개인정보가 유출된 고객의 전화번호로 협박 내용이 담긴 음란 SMS 문자가 발송된 만큼, 2차적인 범죄 예방을 위해 수사를 빠르게 진행했다고 밝혔습니다. 


이번에 시도된 해킹 기법은 SQL 인젝션 공격으로 DB에 대한 질의 값을 조작하여 해커가 원하는 자료의 접근권한을 탈취하여 서비스 관리 페이지를 우회 접속하여 관리자만 열람 할 수 있는 고유 정보들을 전부 다운로드하여 유출한 것으로 보고 있습니다. 


탈취한 관리자 권한을 통해 중복제거를 한 뒤 중요 데이터만 추출하여 유출한 것으로 확인되었습니다. 해당 업체는 개인정보보호법에 따라서 과징금을 부여받게 되었습니다. 


여기어때 앱에서 유출된 개인정보 항목 - 총 341만 8998건 (중복제거 : 99만 584건)

1. 예약정보 (숙박일수, 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대폰번호, 결제방법, 금액, 입퇴실 가능시간 등)

2. 제휴점 정보 (업체명, 은행명, 계좌번호, 예금주, 휴대전화번호 등)

3. 회원정보 (이메일주소, 이름 또는 닉네임, 기기정보 등)


하지만, 이와는 별도로 개인정보 유출 피해자들이 해당 업체를 상대로 소송을 준비 중이며, 2016년 7월 도입된 징벌적 손해배상 제도 도입에 따라서 손해액에 최대 3배 범위에서 손해배상액이 정해질 가능성이 있습니다. 



[여기어때 개인정보 유출사고 사과문 - 위드이노베이션]



여기어때 숙박 앱을 운영하는 업체인 위드이노베이션은 사과문을 통해서 입장을 표명하였습니다.  사과문 내용에도 나와 있듯이 데이터를 암호화하지 않았다는 것이 이번 개인정보 유출사고를 불러왔다는 것을 시인하고 있습니다. 


여기어때 앱 운영사인 위드이노베이션은 블로그를 통해서 회원정보 및 숙박 예약정보 분리 및 암호화 등  보안조치를 시행하겠다고 밝혔습니다. 



개인정보보호법


제24조(고유식별정보의 처리 제한) 

① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다.

1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

② 삭제  <2013.8.6.>

③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.  <개정 2015.7.24.>

④ 행정자치부장관은 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.  <신설 2016.3.29.>

⑤ 행정자치부장관은 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.  <신설 2016.3.29>


24조의2(주민등록번호 처리의 제한)

① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.  <개정 2016.3.29.>

1. 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우

② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.  <신설 2014.3.24., 2015.7.24.>

③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.  <개정 2014.3.24.>

④ 안전행정부장관은 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련·지원할 수 있다.  <개정 2014.3.24.>



위에서 적시한 개인정보보호법 내용과 같이 안전성 확보의 필요한 조치인 암호화 조치를 하여야 합니다. 암호화는 보안의 최후의 보루로써 데이터가 유출되더라도 사용할 수 없는 무용지물인 데이터로 만드는 보안 기법입니다. 사실상 데이터를 활용할 수 없으면 개인정보를 노리는 해커들의 공격도 급격하게 줄어듭니다. 


특히, 최근에는 기존의 DB 기반의 정형데이터는 물론이고 신분증이나 개인 의료데이터 등 민감한 개인정보를 이미지, 로그데이터, 동영상으로 저장하여 서버에 보관하는 경우가 많은 만큼 비정형데이터에 대한 암호화도 반드시 필요합니다. 


보메트릭 트랜스페어런트 인크립션(Vormetric Transparent Encryption)은 Oracle, MS-SQL, Sybase 등의 다양한 환경에서 강력한 암호화를 지원하며 기존의 데이터베이스 뿐만 아니라 문서파일, 이미지 파일, 녹취파일 등 다양한 포맷의 데이터를 오버로드가 최소화한 형태로 안전하게 암호화할 수 있습니다. 



◈ 빅데이터 

◈ 정형데이터 (데이터베이스)

◈ 비정형데이터 (로그, 이미지 등)

* 파일 또는 Raw Device 암호화

* 암호화 파일에 대한 접근 통제


Vormetric Data Security Manager - 통합된 암호키 및 정책 관리

중앙집중형 단일 인터페이스를 통한 암호키와 정책 관리

◈ 소프트웨어/하드웨어 일체형 어플라이언스 또는 가상 머신 형태

◈ 가용성 확보를 위한 이중화 구성 지원

◈ 1만대 이상의 서버 환경에서 입증된 관리 기능

◈ 웹과 CLI 기반의 콘솔 및 자동화를 위한 API 지원

◈ 미국 연방 정부 FIPS 140-2 Level 3 인증 확보





그리고, 보메트릭 애플리케이션 인크립션(Vormetic Application Encrytion)을 통해서 애플리케이션 서버 (WAS 등)과 클라우드 서버의 저장데이터를 필드단위로 암호화 할 수 있습니다. 


* 어플리케이션에서 필드 단위 암호화

* 다양한 환경에 유연하게 대응 가능



보메트릭 암호화 제품 관련 문의는 아래의 아이마켓코리아 보안 담당자에게 연락주시면 친절하게 안내해드립니다. (견적 문의 가능합니다.)



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090